Wie sicher ich eine Veracrypt-encrypted System-Festplatte?

[sholzers]

Hallo,

Wie sicher ich eine Veracrypt-encrypted System-Festplatte? Acronis sagt zwar, dass der MBR mitgesichert wird, schreibt aber offenbar selbst da irgendwas rein, jedenfall lässt sich eine verschlüsselte Platte danach nicht booten. Man könnte natürlich erst entschlüsseln und dann sichern, aber das ist im Alltag viel zu aufwendig.

Hat da jmd ne Lösung? Danke!

LG,
Susanne

 

[alexx_pcfreak]

Hi

vielleicht am Einfachsten den Bitlocker (bei Win10 pro inklusive) in Verbindung mit secure boot verwenden.

cheers, alexx

 

[snaxilian]

https://kb.acronis.com/content/14877

Ergo: Nur Dateibackup oder musst eben ein raw Backup machen wenn du das ganze System willst. Oder suchst dir ein Backup-Programm, dass kompatibel ist mit VeraCrypt. Oder nutzt als Verschlüsselungs Bitlocker, damit kommen viele Backup-Programme, wie z.B. das ebenfalls kostenlose Veeam Agent for Windows, problemlos klar.
Damit auch das Backup verschlüsselt ist, bietet Veeam eine entsprechende Option an, das Backup zu verschlüsseln. Traust du dem nicht, kannst du ja immer noch mit $Encryption-Lösung-deiner-Wahl das Backupmedium (NAS, USB Disk, etc) verschlüsseln.

 

[alexx_pcfreak]

@TE: Du könntest uns noch mitteilen, was genau mit der Platte getan wird. Ist das eine Backup-Platte? Interne (System-/Daten-)Platte? oder was genau? _

 

[fullnewb]

Ich muss zugeben, ich hab das noch nicht probiert - aber vielleicht könntest du den kompletten Datenträger mit CloneZilla auf einen anderen Datenträger sichern. Nachteil: Der Datenträger muss aufs Bit genau gleich groß oder größer sein.

 

[HaZweiOh]

Aber warum die gesamte Systemfestplatte verschlüsselt sichern? So geheim sind die Sachen ja wohl nicht, die du machst. Wichtiger dürften die Daten sein.

Einfach auf eine Backup-Platte sichern und gelegentlich (1x im Jahr) auch eine Kopie der Backup-Platte bei Verwandten unterbringen, falls was mit dem Haus passiert. Ich stelle beim Backup ein Passwort ein. Nicht, weil ich meinen Verwandten nicht trauen würde, sondern, falls da mal so ein "Computer-Helfer" herumtobt, der auf der Suche nach Backups alles durchguckt.

 

[snaxilian]

@HaZweiOh Das ist eine gruselige Empfehlung. Kein Anwender und auch ein Großteil aller technikaffinen Menschen und IT'ler schaffen so eine 100%ige Trennung. Früher oder später und in der Regel früher legt man wichtige Dinge "mal eben" in einen Ordner, der nicht im Backup ist. Auch musst du bei jeder(!) genutzten Anwendung nachhalten wo diese so alles Daten ablegt. Mal in Eigene Dateien, mal irgendwo in AppData, mal mit im Installationsverzeichnis des Programms. Viel Spaß beim nachhalten, suchen und pflegen.

Brauchst dich nur in beliebigen Firmen umsehen, wie viele Leute es nicht schaffen, Arbeitsdaten nur auf Netzlaufwerken abzulegen. (jaja, Roaming Profiles, Folder Redirection, usw. gibt es alles, gehe jetzt vom durchschnittlichen Nutzungsverhalten aus...)

Ebenso ist der Restore nur viel aufwendiger. OS neu installieren (30 Min oder mehr), wieder an alle genutzten/installierten Programme erinnern, herunter laden, installieren (30-60 Min oder mehr), die Programme einrichten (2-5 Min pro Programm minimum) und dann die Daten wieder zurück spielen.
Kompletter Restore inkl. OS, aller Programme und Daten: 30-45 Minuten, je nach Datenmenge und Backupprogramm.

Bei guten Backupprogrammen kannst sowohl einen kompletten Restore machen als auch einzelner Dateien.

 

[HaZweiOh]

Mein Posting war wohl unklar formuliert. Ich meinte, dass die Systempartition nicht unbedingt verschlüsselt sein muss, weil sie eh keine Daten enthält.

Ich legen alle meine Dateien auf Datenpartitionen ab. Das /home-Verzeichnis liegt auf der Home-Partition. Das ist auch nicht "schwierig", denn den Esslöffel lege ich auch nicht zu den tiefen Tellern.

 

[andy_m4]

Früher oder später und in der Regel früher legt man wichtige Dinge "mal eben" in einen Ordner, der nicht im Backup ist.

Warum sollte man das tun? Man sichert einfach /home komplett und dann hat man alles.

Brauchst dich nur in beliebigen Firmen umsehen, wie viele Leute es nicht schaffen, Arbeitsdaten nur auf Netzlaufwerken abzulegen.

Gibt halt nirgendwo anders Schreibrechte und fertig ist es.

Ebenso ist der Restore nur viel aufwendiger. OS neu installieren (30 Min oder mehr), wieder an alle genutzten/installierten Programme erinnern, herunter laden, installieren (30-60 Min oder mehr), die Programme einrichten (2-5 Min pro Programm minimum)

OS neu installieren geht schnell. Genauso die genutzten Programme. Da hat man nämlich eine elektronische Liste die man einfach aus dem Package-Manager zieht bzw. ihm beim installieren wieder zum Fraß vorwirft und gut ist.
Die Einstellungen, sofern sie nicht mit im Home-Verzeichnis sind, sind dann halt im /etc was man natürlich auch regelmäßig sichern muss, falls man da tatsächlich Änderungen vornimmt.

Das ist jetzt auch alles weder Hexenwerk noch große Administrationskunst.

 

[wupi]

Clonezilla kann man nehmen, Macrium Reflect funktioniert auch.

 

[snaxilian]

Hab ich verpasst oder befinden wir uns in nem geheimen Linux-Forum? o0
Ja, bei nem Linux hab ich meine pgk list und /home aber z.B. noch nicht die diversen Config-Files in /etc aber wie kommen wir alle darauf, dass der TE Linux nutzt?

Gehen wir also von Windows aus, weil definitiv wahrscheinlicher.
@HaZweiOh Wird schon schwer bei Outlook und vielen Anwendungen, die einfach irgendwohin alles lokal schreiben. Nur alles lokal verbieten klappt auch nur bei Leuten, die immer eine Verbindung haben und nicht unterwegs sind.
Als ich das letzte mal nachgesehen habe, gab es außer dem Win Store keinen zentralen Paketmanager, der sich merken kann, was ich installiert hatte.

Aber am Ende jeder wie er mag.

 

[HaZweiOh]

Ich nutze kein Outlook, und Thunderbird legt die Mails genau da ab, wo er soll: auf der Datenpartition. ;-)

Aber sei's drum, wir werden offtopic. Ich habe nicht gesagt / gemeint, dass die Systempartition nie gesichert werden muss. Nur halt nicht so oft und auf Verschlüsselung kann man auch verzichten, weil bei einem vernünftig konfigurierten System dort keine Daten liegen.

 

[fullnewb]

Schade, dass von @sholzers hier gar keine Rückmeldung mehr kommt. Weitere Informationen wären für alle Beteiligten sicher hilfreich gewesen. Naja.

 

[andy_m4]

Hab ich verpasst oder befinden wir uns in nem geheimen Linux-Forum? o0

Sowas wie /home und /etc gibts nicht nur unter Linux.

Gehen wir also von Windows aus, weil definitiv wahrscheinlicher.

Ich frag mich dann nur, warum Du von OS-Installation gesprochen hast und nicht von Windows-Installation.

Nur alles lokal verbieten klappt auch nur bei Leuten, die immer eine Verbindung haben und nicht unterwegs sind.

Gut. Die haben dann ein lokales /home und dürfen nur da rein schreiben. Und nu?

 

[asdwetgtrhe5sre]

Hallo,

Wie sicher ich eine Veracrypt-encrypted System-Festplatte? Acronis sagt zwar, dass der MBR mitgesichert wird, schreibt aber offenbar selbst da irgendwas rein, jedenfall lässt sich eine verschlüsselte Platte danach nicht booten. Man könnte natürlich erst entschlüsseln und dann sichern, aber das ist im Alltag viel zu aufwendig.

Hat da jmd ne Lösung? Danke!

LG,
Susanne

Entweder "bit-genau" Mithilfe eines z.B. Startsticks und Backup-Programm wie z.B. Macrium oder von der Windows-Ebene aus im "unverschlüsselten Windows-Zustand" mit Macrium. Das Backup kannst du mit Macrium AES verschlüsseln, damit deine Daten trotzdem sicher sind.

Die Kunst dabei ist eher das "Zurückschreiben" des gesicherten LW, um eine funktionstüchtige System-Festplatte wieder zu haben. Wie bereits oben erwähnt, ist es wichtig, das Backup wieder "bi-genau" auf ein mindestens gleichgroßen Datenträger oder größeren LW zurückzuschreiben.

Das unverschlüsselte Backup aus der "Windows-Ebene" kannst du auch zurückschreiben, da musst du aber aus dem Bios den Veracrypt-Starter noch entfernen, da das Backup unverschlüsselt zurückgeschrieben wird.

 

[sholzers]

bit-genau hieße aber doch, dass ich das Backup außerhalb von Windows starten muss, also vom Acronis Rescue Medium, oder? Sonst wieder nur Salat, wenn ich das im laufenden Betrieb sicher?

Dass das Backup von ner verschlüsselten Platte unverschlüsselt ist, ist mir klar, aber um dieses zum laufen zu bekommen, reichts, mit dem Veracrypt Rescue Medium den Veracrypt Bootloader zu entfernen? Sicher?

 

[wupi]

bit-genau hieße aber doch, dass ich das Backup außerhalb von Windows starten muss, also vom Acronis Rescue Medium, oder? Sonst wieder nur Salat, wenn ich das im laufenden Betrieb sicher?

Korrekt.
Wenn du es "außerhalb von Windows" sicherst, ist das Backup logischerweise verschlüsselt.

 

[sholzers]

gut, ergibt große Abstriche bei der usability. Extra vom Acronis-Stick booten und sichern... nervt enorm

 

[asdwetgtrhe5sre]

gut, ergibt große Abstriche bei der usability. Extra vom Acronis-Stick booten und sichern... nervt enorm

Yepp das "Umständliche" ist zur Zeit noch der Nachteil für die hohe Sicherheit!